Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Fidye yazılımı The Gentlemen Ransomware

The Gentlemen Ransomware

Mezo'de Fidye yazılımı, Gelişmiş Sürekli Tehdit (APT)'de
Çevir:

"The Gentlemen" operasyonuna yönelik soruşturmalar, mali motivasyonlu bu tehdit grubunun başlangıçta LockBit, Qilin ve Medusa dahil olmak üzere birden fazla Fidye Yazılımı Hizmeti (RaaS) ekosisteminin sağladığı altyapı ve kaynakları kullanarak çifte şantaj saldırıları gerçekleştiren bir bağlı kuruluş olarak faaliyet gösterdiğini ortaya koymaktadır.

Operasyon, Phantom Mantis adı altında çeşitli araştırmacılar tarafından takip ediliyor ve LARVA-368 olarak tanımlanan Rusça konuşan bir siber suçlu tarafından yönetiliyor. Bu kişi, hastalamuerte, ArmCorp, zeta88, nobody0 ve santamuerte dahil olmak üzere birçok çevrimiçi takma adla ilişkilendirilmiştir. Mart 2025'ten beri aktif olan grup, 478 kurbanın sorumluluğunu kamuoyuna açıkladı.

Tehdit Grubunun Ortaya Çıkışı

Temmuz 2025'te Phantom Mantis, artık harici RaaS operatörlerine bağımlı olmayan bağımsız bir ortaklık programı olan The Gentlemen'a dönüşerek büyük bir değişim geçirdi. Bu geçişe, fidye yazılımı geliştirme, araç bakımı ve sömürü sonrası faaliyetleri desteklemek için yapay zekanın yoğun kullanımı eşlik etti.

Tehdit istihbaratı değerlendirmeleri, LARVA-368'in ArmCorp markası altında ayrı bir operasyon başlatmadan önce Embargo fidye yazılımı grubu içinde faaliyet gösterdiğini gösteriyor. Dört ay sonra, operasyonun adı The Gentlemen olarak değiştirildi.

Bu geçişin zamanlaması, LARVA-368 ile Qilin fidye yazılımı operasyonu arasındaki kamuoyuna yansıyan bir anlaşmazlıkla yakından örtüşüyordu. Tehdit aktörü, Qilin'i dolandırıcılık yaparak yaklaşık 48.000 dolarlık kazancı alıkoymakla suçladı.

Yeraltı toplulukları içindeki pazar varlığını güçlendirmek için Phantom Mantis, siber suçlu forumlarında premium üyeliklere yatırım yaptı. İletişim ve teknik destek işlevleri büyük ölçüde The Gentlemen Data olarak bilinen ayrı bir Rusça konuşan kişi tarafından yönetiliyor.

Olgun ve Hızla Büyüyen Bir Fidye Yazılımı Ekosistemi

Güvenlik araştırmacıları, The Gentlemen'ı geleneksel fidye yazılımı tekniklerini modern RaaS (Hizmet Olarak Fidye Yazılımı) yetenekleriyle birleştiren, son derece uyarlanabilir ve hızlı gelişen bir fidye yazılımı operasyonu olarak tanımlıyor. Operasyonel modeli, çifte gasp, platformlar arası fidye yazılımı varyantları, esnek yayılma mekanizmaları ve kapsamlı ortaklık desteğini içeriyor.

Grup, tehdit ortamındaki en aktif fidye yazılımı aktörlerinden biri olarak hızla öne çıktı ve Nisan 2026'da gözlemlenen tüm fidye yazılımı faaliyetlerinin yaklaşık %10'unu oluşturdu. Saldırı kampanyaları tipik olarak, savunmasız internete açık hizmetler veya ele geçirilmiş kimlik bilgileri aracılığıyla başlayan, kurumsal odaklı bir sızma zincirini izler.

Analizler ayrıca, operatörlerin sızmalar sırasında taktikleri dinamik olarak değiştirebildiklerini de göstermektedir. Bu faaliyetler arasında Grup İlkesi Nesnelerinin (GPO'lar) manipüle edilmesi, ayrıcalıklı hesapların ele geçirilmesi ve uç nokta güvenlik kontrollerinden kaçınmak için tasarlanmış özelleştirilmiş tekniklerin kullanılması yer almaktadır.

Kurbanların dağılımı, ağırlıklı olarak uluslararası bir odak noktasına işaret etmektedir. Bilinen kurbanların yalnızca yaklaşık %13'ü Amerika Birleşik Devletleri'nde bulunurken, kurbanların en yüksek yoğunlukları Tayland, Birleşik Krallık, Brezilya, Almanya ve Hindistan'da gözlemlenmiştir.

İş Ortaklığı Desteği ve Suç Faaliyetleri

The Gentlemen, LARVA-368 tarafından doğrudan desteklenen yapılandırılmış bir ortaklık ekosistemi sürdürmektedir. The Gentlemen IM platformundaki özel hesaplar, şifreleme süreçleri ve saldırı ile ilgili zorluklar için yardım sağlar; bu yardım, Kendi Güvenlik Açığı Bulunan Sürücünüzü Getirin (BYOVD) tekniklerinden yararlanan EDR atlatma araçlarına erişimi de içerir.

Hem The Gentlemen hem de The Gentlemen Data için destek hizmetleri Tox, SimpleX Chat ve Ricochet Refresh mesajlaşma platformları aracılığıyla sağlanmaktadır. Potansiyel ortakların, ortaklık portalına erişim elde etmeden önce en az 1 GB çalınmış mağdur verisi göndermeleri gerekmektedir. Bu gereklilik, araştırmacıların ve kolluk kuvvetlerinin ortak gibi davranarak platforma sızmasını önlemeyi amaçlamaktadır.

İştirak yönetim portalı, kullanıcı yönetimi, hedef yapılandırması ve fidye yazılımı dağıtım yönetimini mümkün kılar. Katılımcıları çekmek için operasyon, kârın %90'ını iştirakçilere ve %10'unu operatörlere tahsis eden agresif bir gelir paylaşım yapısını teşvik etmektedir.

Teknik Altyapı ve Saldırı Metodolojisi

Grup, Windows, Linux, ESXi, Windows XP ve sonraki sistemlerin yanı sıra Mantıksal Birim Yöneticisi (LVM) kullanan ortamları hedeflemek üzere tasarlanmış beş farklı fidye yazılımı varyantı sunmaktadır. İlk erişim işlemleri genellikle VPN cihazları, güvenlik duvarları ve uç cihazlar gibi internete açık altyapılara odaklanmaktadır.

Saldırı yaşam döngüsü, geniş bir yelpazede saldırı araçları ve tekniklerini içerir:

  • NetExec, RelayKing, TaskHound, PrivHound ve CertiHound gibi kırmızı ekip araçları, Active Directory keşfi, sertifika suistimali, ayrıcalık yükseltme ve ağ paylaşımını bulma amacıyla kullanılır. EDRStartupHinder, gfreeze, glinker ve DumpBrowserSecrets gibi ek araçlar, savunmayı atlatmayı ve kimlik bilgilerini çalmayı kolaylaştırırken, Velociraptor komuta ve kontrol faaliyetlerini destekler.
  • Saldırı sonrası alınan önlemler arasında genellikle Windows Sistem, Uygulama ve Güvenlik Olay Günlüklerinin temizlenmesi, Microsoft Defender'ın devre dışı bırakılması ve tespit fırsatlarını azaltmak için antivirüs dışlama kurallarının oluşturulması yer alır.

Fidye yazılımı, X25519 anahtar değişimi ile XChaCha20 simetrik şifrelemeyi birleştiren hibrit bir şifreleme modeli kullanıyor. Storm-2697 olarak adlandırılan faaliyet kümesini izleyen araştırmacılar, kötü amaçlı yazılımın Go dilinde yazıldığını ve Garble kullanılarak gizlendiğini belirledi.

Özellikle tehlikeli bir özellik, '--spread' parametresi aracılığıyla etkinleştirilir; bu parametre, fidye yazılımını tek bir ana bilgisayarı şifreleyen bir yazılımdan, erişilebilir ağ sistemlerine kendini dağıtabilen, kendi kendini yayan bir solucana dönüştürür. '--wipe' argümanıyla çalıştırıldığında, kötü amaçlı yazılım, şifrelemeden sonra kurtarılabilir kalıntıları ortadan kaldırmak için ek eylemler gerçekleştirir.

Şantaj Taktikleri ve Operasyonel Çeviklik

Kanıtlar, The Gentlemen'ın fidye yazılımı yayılımının ötesine uzanan çok kanallı bir şantaj stratejisi uyguladığını göstermektedir. Mağdurlar ayrıca ödeme olasılığını artırmak için tasarlanmış doğrudan e-posta iletişimleri ve telefon tabanlı baskı kampanyalarıyla da karşı karşıya kalabilirler.

Grubun geliştirme döngüsü, alışılmadık derecede yüksek bir yanıt verme seviyesi sergiliyor. Dikkat çekici bir örnek, Nisan 2026'da operatörlerin bir şifre çözücünün kamuya açık hale geldiği gün bir yama yayınlamasıydı.

Saldırılar genellikle şifreleme işlemi gerçekleştirilmeden önce iki ila altı hafta arasında değişen süreler boyunca tespit edilemeden kalır. VMware altyapısı kullanan kuruluşlar, hedefleme çabalarının özellikle odak noktası gibi görünüyor.

İç Sızıntılar Organizasyon Yapısını Ortaya Çıkardı

Mayıs 2026'da, grubun kullandığı dahili bir Rocket.Chat veritabanının ifşa edilmesiyle önemli bir istihbarat atılımı gerçekleşti. Sızıntı, Kasım 2025 ile Nisan 2026 sonu arasında değiş tokuş edilen 3.366 mesajı içeriyordu ve operasyonun iç yapısı ve iş akışları hakkında değerli bilgiler sağlıyordu.

İletişim kayıtları, üyeler arasında net bir sorumluluk paylaşımını ortaya koydu ve VMware Aria Operations, Fortinet, Cisco ve Microsoft teknolojilerini etkileyen güvenlik açıklarının kullanımını belgeledi. Kayıtlar, saldırı operasyonlarının farklı aşamalarını destekleyen uzmanlaşmış rollere sahip, iyi organize edilmiş bir suç örgütünü tasvir ediyordu.

Sızdırılan bilgiler ayrıca, CVE-2024-55591, CVE-2025-32433 ve CVE-2025-33073 dahil olmak üzere ortaya çıkan güvenlik açıklarının aktif olarak izlendiğini ve değerlendirildiğini gösterdi. Bu güvenlik açıkları, yedek sistemin kötüye kullanımı, yönetim denetleyicisinin ele geçirilmesi ve NTLM röle tekniklerini içeren ek saldırı yollarıyla birleştirilerek son derece esnek bir istismar çerçevesi oluşturuldu.

Eksiksiz bir Operatör Araç Setinin Tanıtımı

Mart 2026'da siber güvenlik araştırmacıları, Proton66 kurşun geçirmez barındırma hizmetinde barındırılan açık bir dizin tespit etti. Bu dizin, The Gentlemen RaaS'ın bir iştirakine ait olduğu belirtilen 126 dosya içeriyordu ve fidye yazılımı operatörünün eksiksiz bir araç setini ortaya çıkarıyordu.

Sızdırılan araç seti, saldırı yaşam döngüsünün neredeyse her aşamasını kapsıyordu:

  • Keşif ve mağdur profillemesi
  • Ayrıcalık yükseltmesi
  • Savunma kaçınması
  • Kimlik hırsızlığı
  • Yanal hareket
  • Kalıcılık mekanizmaları
  • Şifreleme öncesi hazırlık faaliyetleri

    • Sunulan araç setinin genişliği, ekosistemin operasyonel olgunluğunu ortaya koydu ve iştirakçilerin kullanımına sunulan kaynaklara dair nadir bir bakış açısı sağladı.

    Markanın Ardındaki Tehdit

    LARVA-368, en az 2020 yılından beri fidye odaklı siber suç faaliyetlerinde yer almaktadır. Çok sayıda fidye yazılımı operasyonuyla yapılan iş birliklerinden elde edilen deneyim, The Gentlemen'ı önemli bir bağımsız RaaS işletmesi haline getirmek ve ölçeklendirmek için gerekli teknik uzmanlığı, operasyonel bilgiyi ve suç ağını sağlamış gibi görünmektedir.

    Operasyonun teknik gelişmişliği, bağlı kuruluş odaklı iş uygulamaları, hızlı geliştirme döngüleri ve agresif fidye talep taktiklerinin birleşimi, The Gentlemen'ı şu anda dünya çapındaki kuruluşların karşı karşıya olduğu en önemli fidye yazılımı tehditleri arasına yerleştirmiştir.

    trend

    En çok görüntülenen

    Yükleniyor...